Politica de confidențialitate
Versiunea 2.0.0 • Actualizat: Februarie 2026
Data intrării în vigoare: ........................
1. Introducere
Devi Devs Technologies S.R.L. ("DeviDevs", "noi", "nostru/noastră"), societate comercială constituită conform legislației din România, cu sediul social în Aleea Textiliștilor 7, Bl. MY12, Sc. 2, Et. 8, Ap. 63, Sector 3, București, CUI 48553919, se angajează să protejeze confidențialitatea tuturor persoanelor ale căror date cu caracter personal le prelucrăm.
Prezenta Politică de Confidențialitate explică modul în care colectăm, utilizăm, stocăm și protejăm datele cu caracter personal în legătură cu:
- (A) site-ul/site-urile noastre web și prezența noastră online;
- (B) DeviDevs Newsletter Platform ("Platforma"), un serviciu SaaS de email marketing și automatizare.
Prezenta Politică de Confidențialitate este furnizată în conformitate cu:
- Regulamentul (UE) 2016/679 ("GDPR") — Art. 13 și 14
- Legea nr. 190/2018 (România — implementare GDPR)
- Legea nr. 506/2004 (România — comunicații electronice)
- Legea nr. 365/2002 (România — comerțul electronic)
2. Rolul nostru dual
Prelucrăm date cu caracter personal în două calități distincte:
2.1. DeviDevs în calitate de Operator
Acționăm în calitate de Operator (GDPR Art. 4(7)) pentru următoarele date:
- Date cu caracter personal ale Clienților noștri (clienții agenției care utilizează Platforma) — informații despre cont, date de facturare, istoricul comunicărilor
- Date cu caracter personal ale vizitatorilor site-ului web — colectate prin intermediul site-ului nostru (formulare de contact, cookie-uri, analize statistice)
- Date cu caracter personal ale angajaților și colaboratorilor noștri
Pentru aceste date, stabilim scopurile și mijloacele prelucrării, iar prezenta Politică de Confidențialitate descrie practicile noastre în calitate de Operator.
2.2. DeviDevs în calitate de Persoană Împuternicită
Acționăm în calitate de Persoană Împuternicită (GDPR Art. 4(8)) pentru următoarele date:
- Date cu caracter personal ale Abonaților Clienților noștri — adrese de email, nume, etichete, înregistrări privind consimțământul și date privind interacțiunea, stocate și prelucrate prin intermediul Platformei în numele Clienților noștri
Pentru datele Abonaților, Clientul nostru este Operatorul. Prelucrăm aceste date exclusiv conform instrucțiunilor Clientului, astfel cum sunt reglementate prin Acordul de Prelucrare a Datelor (DPA). Dacă sunteți Abonat al unuia dintre Clienții noștri, vă rugăm să consultați politica de confidențialitate a Clientului respectiv pentru informații despre modul în care sunt prelucrate datele dumneavoastră.
3. Date pe care le colectăm ca Operator
3.1. Datele contului de Client
| Categoria de date | Exemple | Temeiul juridic | Scopul |
|---|---|---|---|
| Date de identificare | Nume complet, denumirea societății, funcția | Art. 6(1)(b) — executarea contractului | Crearea și gestionarea contului |
| Date de contact | Adresă de email, număr de telefon, adresă poștală | Art. 6(1)(b) — executarea contractului | Comunicare, facturare, suport |
| Date de facturare | Date fiscale ale societății (CUI, nr. J), cont bancar, adresă de facturare | Art. 6(1)(b) — executarea contractului; Art. 6(1)(c) — obligație legală | Facturare, conformitate fiscală |
| Date de autentificare | Email, parolă criptată (via Supabase Auth) | Art. 6(1)(b) — executarea contractului | Acces securizat la Platformă |
| Date de comunicare | Tichete de suport, emailuri, feedback | Art. 6(1)(b) — executarea contractului; Art. 6(1)(f) — interes legitim | Furnizarea și îmbunătățirea serviciului |
3.2. Datele vizitatorilor site-ului web
| Categoria de date | Exemple | Temeiul juridic | Scopul |
|---|---|---|---|
| Date din formularul de contact | Nume, email, mesaj | Art. 6(1)(a) — consimțământ; Art. 6(1)(f) — interes legitim | Răspunsul la solicitări |
| Date cookie | A se vedea Politica de Cookie-uri | Art. 6(1)(a) — consimțământ (neesențiale); Art. 6(1)(f) — interes legitim (esențiale) | Funcționalitatea site-ului, analize statistice |
| Date tehnice | Adresa IP, tipul browserului, dispozitivul, sistemul de operare, URL de proveniență | Art. 6(1)(f) — interes legitim | Securitate, analize statistice, îmbunătățirea serviciului |
| Date de utilizare | Pagini vizitate, timpul petrecut pe site, modele de navigare | Art. 6(1)(a) — consimțământ (prin cookie-uri de analiză) | Înțelegerea comportamentului utilizatorilor, îmbunătățirea serviciului |
3.3. Date privind utilizarea Platformei (activitatea Clientului)
| Categoria de date | Exemple | Temeiul juridic | Scopul |
|---|---|---|---|
| Jurnale de activitate | Acțiuni efectuate în Platformă (creare campanii, importuri de abonați, modificări de setări) | Art. 6(1)(b) — executarea contractului; Art. 6(1)(f) — interes legitim | Furnizarea serviciului, pistă de audit, securitate |
| Date de performanță | Rate de livrare a emailurilor, rate de respingere, rate de reclamații | Art. 6(1)(b) — executarea contractului | Furnizarea serviciului, monitorizarea conformității |
4. Date pe care le prelucrăm ca Persoană Împuternicită (Date ale Abonaților)
Când Clienții noștri utilizează Platforma pentru a-și gestiona Abonații, prelucrăm următoarele date în numele și conform instrucțiunilor Clienților noștri:
| Categoria de date | Exemple |
|---|---|
| Identitatea Abonatului | Adresă de email, prenume, nume |
| Preferințele Abonatului | Etichete, segmente, starea abonamentului |
| Înregistrări privind consimțământul | Data și ora consimțământului, metoda de obținere a consimțământului |
| Date privind interacțiunea | Starea livrării emailului, data și ora deschiderii, data și ora click-urilor, informații privind respingerile, evenimente de dezabonare |
| Date tehnice | Adresa IP la momentul abonării (dacă este colectată de Client) |
Important: Prelucrăm aceste date exclusiv conform instrucțiunilor Clienților noștri. Temeiul juridic, consimțământul și informările privind confidențialitatea pentru această prelucrare sunt responsabilitatea Clientului (Operator). Pentru detalii, vă rugăm să consultați Acordul nostru de Prelucrare a Datelor.
5. Cum utilizăm datele dvs. (în calitate de Operator)
Utilizăm datele cu caracter personal în următoarele scopuri:
5.1. Furnizarea serviciului (Art. 6(1)(b) — Executarea contractului)
- Crearea și gestionarea contului dumneavoastră
- Furnizarea serviciilor Platformei conform celor descrise în Termenii și Condițiile de Utilizare
- Procesarea plăților și emiterea facturilor
- Furnizarea suportului tehnic și răspunsul la solicitări
5.2. Obligații legale (Art. 6(1)(c) — Obligație legală)
- Conformitatea fiscală și contabilă (legislația fiscală românească)
- Răspunsul la solicitările legale ale autorităților
- Păstrarea evidențelor conform cerințelor legale
5.3. Interese legitime (Art. 6(1)(f) — Interes legitim)
- Îmbunătățirea funcționalității, performanței și securității Platformei
- Detectarea și prevenirea fraudei, abuzurilor și incidentelor de securitate
- Aplicarea Termenilor și Condițiilor de Utilizare și a politicilor noastre
- Analize statistice și rapoarte agregate (fără identificare individuală)
Evaluarea interesului legitim: Ne echilibrăm interesele legitime cu drepturile și libertățile dumneavoastră înainte de a ne baza pe acest temei juridic. Aveți dreptul de a vă opune prelucrării bazate pe interes legitim (consultați Secțiunea 8).
5.4. Consimțământ (Art. 6(1)(a) — Consimțământ)
- Trimiterea de comunicări de marketing cu privire la serviciile DeviDevs (numai cu acordul dumneavoastră explicit)
- Plasarea cookie-urilor neesențiale pe dispozitivul dumneavoastră (a se vedea Politica de Cookie-uri)
Vă puteți retrage consimțământul în orice moment (a se vedea Secțiunea 8).
6. Partajarea datelor și destinatarii
6.1. Persoane Împuternicite Secundare (Sub-procesatori)
Partajăm date cu caracter personal cu următoarele categorii de Persoane Împuternicite Secundare pentru a furniza Serviciul:
| Categorie | Persoana Împuternicită Secundară | Locație | Mecanism de transfer |
|---|---|---|---|
| Bază de date | Supabase, Inc. | UE (Frankfurt) | N/A (date în UE) |
| Găzduire backend | Render Inc. | UE (Frankfurt) | N/A (date în UE) |
| Găzduire frontend | Vercel Inc. | SUA (Edge: global) | EU-US DPF + SCCs |
| Livrare email | Amazon Web Services (SES) | UE/SUA (conform configurării) | EU-US DPF + SCCs |
| Conținut AI | Anthropic, PBC | SUA | SCCs |
| Conținut AI | Google LLC (Gemini) | SUA | EU-US DPF + SCCs |
| Livrare email (opțional) | Plus Five Five, Inc. d/b/a Resend | SUA | SCCs |
O listă completă cu detalii este disponibilă în Anexa 3 a Acordului de Prelucrare a Datelor.
6.2. Alți destinatari
De asemenea, putem partaja date cu caracter personal cu:
- (a) Consilieri profesioniști — avocați, contabili, auditori, sub obligații de confidențialitate
- (b) Autorități — atunci când legislația, reglementările sau hotărârile judecătorești o impun (de ex., ANSPDCP, ANAF, instanțe judecătorești)
- (c) Transferuri de afaceri — în legătură cu o fuziune, achiziție sau vânzare de active (cu notificare prealabilă)
6.3. Interzicerea vânzării datelor
Nu vindem, nu închiriem și nu comercializăm date cu caracter personal către terți în scopuri de marketing ale acestora.
7. Transferuri internaționale de date
7.1. Stocarea principală
Datele dumneavoastră sunt stocate în principal în Uniunea Europeană:
- Baza de date: Supabase PostgreSQL în UE (Frankfurt, eu-central-1)
- Procesare backend: Render în UE (Frankfurt)
7.2. Transferuri în afara SEE
Unele dintre Persoanele noastre Împuternicite Secundare sunt situate în Statele Unite ale Americii. Pentru aceste transferuri, ne bazăm pe:
- (a) Cadrul UE-SUA privind confidențialitatea datelor (EU-US DPF) — pentru Persoanele Împuternicite Secundare certificate în cadrul acestui mecanism (decizia de adecvare din 10 iulie 2023)
- (b) Clauze Contractuale Standard (SCCs) — adoptate în temeiul Deciziei de punere în aplicare (UE) 2021/914 a Comisiei, ca garanție suplimentară sau alternativă
- (c) Evaluări ale impactului transferurilor (TIAs) — efectuate pentru fiecare transfer în vederea evaluării nivelului de protecție
7.3. Garanții
Ne asigurăm că toate transferurile către țări terțe oferă un nivel adecvat de protecție a datelor prin:
- obligații contractuale (SCCs, DPA-uri);
- măsuri tehnice (criptare în tranzit și în repaus);
- evaluarea periodică a conformității Persoanelor Împuternicite Secundare.
8. Drepturile dvs.
În temeiul GDPR, beneficiați de următoarele drepturi privind datele dumneavoastră cu caracter personal:
| Dreptul | Descriere | Articol |
|---|---|---|
| Dreptul de acces | Solicitarea unei copii a datelor dumneavoastră cu caracter personal și a informațiilor privind modul de prelucrare | Art. 15 |
| Dreptul la rectificare | Solicitarea corectării datelor cu caracter personal inexacte sau incomplete | Art. 16 |
| Dreptul la ștergere | Solicitarea ștergerii datelor dumneavoastră cu caracter personal ("dreptul de a fi uitat") | Art. 17 |
| Dreptul la restricționarea prelucrării | Solicitarea restricționării prelucrării în anumite circumstanțe | Art. 18 |
| Dreptul la portabilitatea datelor | Primirea datelor într-un format structurat, utilizat în mod curent și care poate fi citit automat | Art. 20 |
| Dreptul la opoziție | Opunerea la prelucrarea bazată pe interes legitim sau marketing direct | Art. 21 |
| Dreptul de retragere a consimțământului | Retragerea consimțământului în orice moment (fără a afecta legalitatea prelucrării anterioare) | Art. 7(3) |
| Dreptul de a nu face obiectul unei decizii automatizate | De a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată cu efecte juridice sau semnificative similare | Art. 22 |
| Dreptul de a depune o plângere | Depunerea unei plângeri la Autoritatea de Supraveghere | Art. 77 |
8.1. Cum vă puteți exercita drepturile
Vă puteți exercita drepturile prin:
- Email: ........................
- Poștă: ........................
- Platforma: Utilizând instrumentele de tip self-service pentru exportul și ștergerea datelor (pentru titularii de conturi în Platformă)
Vom răspunde solicitării dumneavoastră în termen de o (1) lună de la primire. Acest termen poate fi prelungit cu două luni suplimentare în cazul în care cererea este complexă sau se primesc cereri numeroase, caz în care vă vom informa în prima lună (GDPR Art. 12(3)).
8.2. Verificare
Pentru a vă proteja confidențialitatea, este posibil să fie necesar să vă verificăm identitatea înainte de a da curs cererii dumneavoastră. Nu vom percepe nicio taxă pentru exercitarea drepturilor dumneavoastră, cu excepția cazurilor în care cererile sunt vădit nefondate sau excesive (GDPR Art. 12(5)).
8.3. Pentru Abonații Clienților noștri
Dacă sunteți Abonat al unuia dintre Clienții noștri și doriți să vă exercitați drepturile cu privire la datele prelucrate prin intermediul Platformei:
- Vă rugăm să contactați direct Clientul (Operatorul). Acesta are responsabilitatea de a răspunde cererii dumneavoastră.
- Dacă ne contactați direct, vom redirecționa cererea dumneavoastră către Clientul relevant.
- Vom asista Clientul în îndeplinirea cererii dumneavoastră, conform prevederilor DPA.
9. Păstrarea datelor
Păstrăm datele cu caracter personal doar atât timp cât este necesar pentru scopurile stabilite în prezenta Politică de Confidențialitate:
| Categoria de date | Perioada de păstrare | Temei |
|---|---|---|
| Date ale contului de Client | Durata contului + 3 ani | Executarea contractului + obligații legale (evidențe fiscale) |
| Date de facturare | 5 ani după anul fiscal | Obligație legală (legislația fiscală românească — Legea 82/1991, modificată prin Legea 36/2023) |
| Formulare de contact | 12 luni după soluționare | Interes legitim |
| Jurnale de audit și securitate | 12 luni | Interes legitim (securitate) |
| Înregistrări privind consimțământul cookie | 3 ani | Obligație legală (proba consimțământului — GDPR Art. 7(1)) |
Păstrarea datelor Abonaților este reglementată de DPA și de instrucțiunile Clientului. La încetarea Acordului de Furnizare a Serviciului, datele Abonaților sunt șterse în termen de 30 de zile (sau returnate Clientului la cerere).
10. Securitatea datelor
Implementăm măsuri tehnice și organizatorice adecvate pentru protejarea datelor cu caracter personal, inclusiv:
- Criptare: TLS 1.2+ pentru date în tranzit; AES-256 pentru date în repaus; criptare Fernet pentru credențiale sensibile
- Controlul accesului: Autentificare bazată pe JWT, Row Level Security (RLS) la nivel de bază de date, izolare multi-tenant cu delimitare prin client_id
- Securitatea infrastructurii: Bază de date în UE (Frankfurt), copii de siguranță automatizate, monitorizare permanentă
- Personal: Obligații de confidențialitate, acces limitat pe baza principiului "need-to-know"
- Răspuns la incidente: Proceduri documentate de detectare și notificare a incidentelor de securitate
Pentru o descriere detaliată a măsurilor noastre de securitate, a se vedea Anexa 2 a Acordului de Prelucrare a Datelor.
11. Datele copiilor
Platforma și site-ul nostru web nu sunt destinate copiilor. Nu colectăm cu bună știință date cu caracter personal de la copii sub vârsta de șaisprezece (16) ani (vârsta implicită a consimțământului digital conform GDPR Art. 8(1); România nu a exercitat derogarea națională pentru reducerea acestei vârste).
Dacă luăm cunoștință că am colectat date cu caracter personal de la un copil sub 16 ani fără consimțământul parental valid, vom lua măsuri pentru ștergerea promptă a acestor date.
12. Luarea automată a deciziilor
12.1. Platforma utilizează prelucrare automată în următoarele scopuri:
- (a) Gestionarea respingerilor: Dezactivarea automată a adreselor de abonați care generează respingeri permanente
- (b) Detectarea spam-ului/abuzului: Monitorizarea automată a ratelor de reclamații și a modelelor de trimitere
- (c) Generarea de conținut AI: Generarea automată a conținutului de newsletter pe baza instrucțiunilor Clientului
12.2. Aceste procese automatizate:
- nu produc efecte juridice sau efecte semnificative similare asupra persoanelor vizate;
- sunt supuse supravegherii umane (Clienții revizuiesc conținutul generat, gestionează abonații);
- pot fi anulate prin intervenție manuală.
12.3. Nu utilizăm profilarea care produce efecte juridice sau efecte semnificative similare asupra persoanelor fizice.
12.4. În conformitate cu Regulamentul (UE) 2024/1689 ("Regulamentul privind Inteligența Artificială" / "EU AI Act"):
- (a) conținutul generat de AI prin intermediul Platformei este supus revizuirii editoriale umane de către Client (Operator) înainte de distribuirea către Abonați;
- (b) DeviDevs menține programe de alfabetizare în domeniul AI pentru personalul implicat în operarea sistemelor de AI, conform art. 4 din Regulamentul privind Inteligența Artificială;
- (c) în cazurile prevăzute de art. 50 din Regulamentul privind Inteligența Artificială, conținutul generat de AI este identificat ca atare.
13. Modificări ale acestei politici
Putem actualiza prezenta Politică de Confidențialitate periodic pentru a reflecta modificările practicilor noastre, ale tehnologiei sau ale cerințelor legale. Modificările semnificative vor fi comunicate prin:
- o notificare pe site-ul nostru web;
- notificare prin email către Clienții înregistrați;
- cu cel puțin treizeci (30) de zile înainte de data intrării în vigoare.
Vă încurajăm să consultați periodic prezenta Politică de Confidențialitate.
14. Contact și reclamații
14.1. Contactați-ne
Pentru orice întrebări privind prezenta Politică de Confidențialitate sau modul în care prelucrăm datele dumneavoastră cu caracter personal:
- Email: ........................
- Adresă: Aleea Textiliștilor 7, Bl. MY12, Sc. 2, Et. 8, Ap. 63, Sector 3, București
14.2. Persoana de contact pentru protecția datelor
În calitate de microîntreprindere (sub 10 angajați), DeviDevs nu are obligația de a desemna un Responsabil cu Protecția Datelor (DPO) conform art. 37 din GDPR. Pentru întrebări privind protecția datelor, vă rugăm să ne contactați la:
- Email: ........................
14.3. Autoritatea de supraveghere
Aveți dreptul de a depune o plângere la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal:
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
- Adresă: B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, cod poștal 010336, București, România
- Telefon: +40.318.059.211
- Email: anspdcp@dataprotection.ro
- Website: https://www.dataprotection.ro
De asemenea, aveți dreptul de a depune o plângere la autoritatea de supraveghere din statul membru UE în care aveți reședința obișnuită, locul de muncă sau locul presupusei încălcări (GDPR Art. 77).
15. Referințe legislative
- Regulamentul (UE) 2016/679 (GDPR) — Art. 6, 7, 12-22, 28, 32-34, 44-49, 77, 82
- Regulamentul (UE) 2024/1689 (Regulamentul privind Inteligența Artificială / EU AI Act) — Art. 4 (alfabetizarea în domeniul AI), Art. 50 (transparența)
- Regulamentul (UE) 2023/2854 (Regulamentul privind Datele / Data Act) — Capitolul VI (portabilitatea și schimbarea furnizorului)
- Legea nr. 190/2018 (România) — implementare GDPR
- Legea nr. 506/2004 (România) — Art. 4, 12 (cookie-uri, comunicații electronice)
- Legea nr. 365/2002 (România) — Comerțul electronic
- Legea nr. 82/1991 (România), modificată prin Legea nr. 36/2023 — Legea contabilității (păstrarea evidențelor fiscale: 5 ani)
- Directiva 2002/58/CE (ePrivacy) — Art. 5(3), Art. 13
- Decizia de punere în aplicare (UE) 2021/914 a Comisiei — Clauze Contractuale Standard
- Orientările EDPB 05/2020 — Consimțământul
- Orientările EDPB 07/2020 — Conceptele de Operator și Persoană Împuternicită
ID Document: PC-v2.0.0 • Clasificare: Public
Acest document NU constituie consultanță juridică și trebuie revizuit de un profesionist juridic calificat înainte de publicare.